Confrence "Protection des donnes: les 21 prochaines annes

Conférence "Protection des données: les 21 prochaines années?"
The Midland Hotel, Manchester, 29 novembre 2005
_____________________________________________________________________
Conclusions
Peter J. Hustinx
Contrôleur européen de la protection des données
Chers collègues
Mesdames, Messieurs,
Permettez-moi tout d'abord de vous dire que c'est pour moi un très grand plaisir de
participer à une conférence comme celle-ci – organisée par l'Office du commissaire
du Royaume-Uni à l'information et marquant le départ à la retraite de Francis
Aldhouse, Deputy Data Protection Commissioner – et d'y intervenir. Je n'ignore pas
que cette conférence doit son titre bien plus au fait que Francis est entré en fonction
dès 1984, une année spéciale en la matière, qu'à une ambition démesurée. Il n'est
cependant pas inutile de prendre aujourd'hui le temps de réfléchir à l'avenir.
Je voudrais ensuite rappeler tout mon intérêt pour la discussion d'aujourd'hui. En ma
qualité de CEPD, je contribuerai le moment venu aux travaux de la Commission
européenne en vue d'une éventuelle révision de la directive 95/46/CE. En d'autres
temps, j'ai travaillé sur cette question en qualité de président de l'autorité néerlandaise
chargée de la protection des données durant plus de 12 ans. Avant cela, j'ai également
participé à la mise au point des systèmes de protection des données, tant au sein du
Conseil de l'Europe que dans d'autres enceintes. Dans toutes ces fonctions, j'ai côtoyé
Francis Aldhouse dont j'ai pu apprécier les qualités professionnelles et l'amitié.
Permettez-moi d'aborder maintenant une série de points qui me paraissent pertinents
dans le cadre des discussions d'aujourd'hui. Je vous proposerai en fait dix brèves
conclusions, dont certaines ont trait à des sujets que nous n'avons pas même évoqués,
et, pour finir, quelques remarques personnelles supplémentaires.
2
1. Un cadre commun. L'article 8 de la Convention européenne des droits de
l'homme consacre le droit au respect de la vie privée. Ce droit ne peut être restreint
qu'à certaines conditions, ce qui revêt une importance déterminante lorsque des
propositions de nouvelle législation controversées doivent être évaluées. La
Convention n° 108 du Conseil de l'Europe (Convention pour la protection des
personnes à l'égard du traitement automatisé des données à caractère personnel) a été
élaborée afin d'étendre la protection dans un domaine où des garanties plus
structurelles faisaient défaut. Cette protection a trouvé son prolongement dans la
directive 95/46/CE et a été reconnue comme un droit distinct avec l'article 8 de la
Charte des droits fondamentaux de l'UE. Le lien étroit entre ces deux instruments, et
leur interaction apparaissent clairement dans l'arrêt rendu par la Cour de justice des
Communautés européennes dans l'affaire "Österreichischer Rundfunk" (mai 2003).
2. Champ d'application et définitions. Il n'y a pas de raison de limiter le champ
d'application de la protection des données au traitement des données à caractère
personnel présentant un risque particulier. Il serait utile toutefois de procéder à un
exercice conjoint de clarification du concept de "données à caractère personnel" – par
exemple, mais pas uniquement, en relation avec les nouvelles technologies. Le
Groupe de protection des données article 29 a récemment décidé de se livrer à cet
exercice conjoint, qui aboutira probablement à un réexamen de l'arrêt de la Cour
d'appel du Royaume-Uni dans l'affaire Durant. La notion de "responsable du
traitement" est également source de difficultés: elle est parfois malaisée à définir
lorsque les organisations font appel à des prestataires de services.
3. Principes de base. Les principes de base n'ont pas été remis en cause. Il est
cependant exact qu'ils doivent faire l'objet d'une plus grande protection au niveau de
l'arrière-guichet. Si les dirigeants et les juristes peuvent devenir versés en droit de la
protection des données, il est primordial de faire connaître ces principes au personnel
chargé au jour le jour des opérations faisant intervenir les données à caractère
personnel et de leur donner une formation suffisante à la mise en œuvre de ces
principes dans leurs tâches quotidiennes. Des audits dans le domaine de la protection
des données peuvent s'avérer nécessaires pour parer aux risques techniques et
organisationnels. Les droits des individus sont, dans l'ensemble, reconnus, mais les
organisations et les procédures doivent également en permettre l'exercice grâce à des
mesures adéquates.
4. Une autorité indépendante. L'existence d'autorités indépendantes est une
3
caractéristique propre au droit européen de la protection des données, mais il ne faut
pas la considérer comme allant de soi. L'ouverture par la Commission européenne de
procédures concernant les autorités chargées de la protection des données en
Allemagne et en Autriche pose la question des formes que prend l'indépendance dans
chaque État membre de l'UE. Ces autorités agissent à l'intérieur d'un cadre
réglementaire et interagissent avec d'autres acteurs concernés, comme les associations
de consommateurs ou les organisations syndicales. Elles doivent être transparentes et
comptables de leurs choix.
5. Une meilleure réglementation. Les autorités chargées de la protection des
données doivent être consultées par les gouvernements nationaux à propos des
nouvelles législations. Au niveau de l'UE, il est obligatoire de consulter le CEPD sur
toute proposition législative ayant une incidence en matière de protection des données
à caractère personnel. Des évaluations de l'incidence sur la vie privée, qu'elles soient
liées à la nouvelle législation ou à un autre contexte, sont également les bienvenues.
L'efficacité est un principe cardinal de la protection des données. Ceci signifie que les
autorités devraient étudier la possibilité de faire moins, en faisant mieux.
6. Une meilleure observation des règles. La première tâche des autorités chargées
de la protection des données est d'encourager au respect des règles. Cela signifie
également qu'il faut sensibiliser l'ensemble de la société aux questions relatives à la
vie privée et transmettre de différentes manières des messages visant à la protection
de la vie privée. Le modèle néerlandais de co-régulation est "extrêmement utile". Les
outils d'auto-réglementation et d'auto-évaluation sont capitaux. Comme l'a illustré la
nouvelle loi française, le rôle des délégués internes à la protection des données
gagnera sans cesse en importance et il est probable que la révision de la directive par
la Commission européenne sera l'occasion de lui accorder une plus grande place.
7. Des pouvoirs renforcés. L'article 28 de la directive stipule qu'une autorité de
contrôle, en matière de protection des données, doit disposer de pouvoirs
d'investigation adéquats et de pouvoirs effectifs d'intervention. Cela signifie que des
évaluations et des investigations essentielles ne devraient pas dépendre de
responsables coopératifs. L'autorité doit appliquer la loi de manière directe, ciblée et
systématique; il serait d'ailleurs préférable qu'elle concentre son action sur des
domaines présentant des risques plus élevés. Elle devrait aussi, pour obtenir un
4
résultat optimal, annoncer qu'elle va mener des inspections dans un secteur donné et y
procéder ensuite de manière aléatoire.
8. De meilleurs remèdes. Les plaintes devraient être traitées selon des procédures
standardisées tenant compte du fait que les besoins de l'un peuvent être différents de
ceux de l'autre. Tôt ou tard, cependant, l'autorité est amenée à décider si elle privilégie
l'aspect individuel ou structurel des plaintes. En toute hypothèse, il est probable que
l'exercice des droits individuels recevra plus d'attention que le dédommagement. Les
résultats d'une enquête peuvent suffire à garantir une indemnisation adéquate.
9. Les nouvelles technologies, comme l'identification par fréquence radio et, plus
généralement, les environnements intelligents vont poser de nouveaux problèmes. Les
risques pour la vie privée doivent être évalués et, le cas échéants, écartés. Il pourrait
être nécessaire de définir de nouvelles responsabilités pour répondre efficacement à
de tels risques. Il importe également de mieux encourager les systèmes enfouis et les
technologies renforçant la protection de la vie privée.
10. La coopération internationale revêt une importance capitale pour toutes ces
questions, notamment dans le cadre de la prochaine révision de la directive.
L'occasion nous sera alors fournie d'explorer de nouveaux rivages, mais il demeure
que l'adoption de la directive 95/46 a demandé tellement de temps que la Commission
européenne pourrait se montrer peu encline à la modifier. Quoi qu'il en soit, il
conviendrait de disposer d'un rapport sur les progrès accomplis depuis le premier
rapport de la Commission, qui remonte à 2003.
Permettez-moi, à ce stade, de revenir sur le rôle joué par Francis Aldhouse au sein des
différents organes internationaux concerné par le sujet de nos discussions de ce jour.
Outre son travail au Conseil de l'Europe et au sein du Groupe de travail article 29,
j'aimerais mentionner ses contributions à l'OCDE, à la mise au point de normes et au
sein des autorités de contrôle communes au titre du troisième pilier de l'Union
européenne (Europol, Schengen et les douanes). Il a fait preuve en toutes
circonstances d'un engagement résolu en faveur d'une meilleure protection des
données, d'un jugement éclairé et d'une grande expertise.
5
Il nous manquera bientôt, en tout cas dans les enceintes où nous avons collaboré; mais
je lui adresse, bien sûr, tous mes vœux de réussite, tant dans sa vie personnelle que
dans ce à quoi il décidera de se consacrer.
Je vous remercie de votre attention.